Uber刷單微信朋友圈截圖

　　新浪科技 劉安妮

　　最近，小冉接連收到了優(yōu)步發(fā)給她的新設(shè)備登陸信息，與此同時(shí)支付寶賬戶提示她有優(yōu)步代扣。小冉意識(shí)到可能是賬戶被盜之后，開(kāi)始嘗試重置密碼，然而多次操作之后，注冊(cè)電郵卻遲遲沒(méi)有收到重置密碼連接。

　　事實(shí)上，在最近一段時(shí)間內(nèi)，這種被盜刷的現(xiàn)象屢見(jiàn)不鮮。其背后是黑客通過(guò)優(yōu)步的漏洞進(jìn)行盜號(hào)，為了獲取收入，從而衍生出一條黑色的產(chǎn)業(yè)鏈——優(yōu)步代叫。

　　“45元”就可全城叫車

網(wǎng)上搜索“優(yōu)步代叫”，出現(xiàn)很多商家。

　　新浪科技在網(wǎng)上以“優(yōu)步代叫”進(jìn)行搜索，發(fā)現(xiàn)了數(shù)家號(hào)稱“優(yōu)步代叫”的商家，通過(guò)在網(wǎng)上公布的信息，新浪科技添加了其中一位商家的微信。

　　該商家告訴新浪科技，目前可以提供全國(guó)叫車，同城不限距離統(tǒng)一收費(fèi)每車45元，不限人數(shù)。

　　商家提示新浪科技，在上車后十分鐘之內(nèi)未打款，將取消行程。如果司機(jī)問(wèn)起來(lái)“為什么叫車的號(hào)是關(guān)機(jī)或者停機(jī)”的號(hào)碼，就回答說(shuō)朋友有優(yōu)惠劵幫忙叫車的，千萬(wàn)不要說(shuō)是微信網(wǎng)上叫車的。

　　新浪科技在其朋友圈發(fā)現(xiàn)，該商家每日發(fā)布大量題為“開(kāi)始接單”、“優(yōu)步叫車流程”等朋友圈。

　　由此可見(jiàn)，優(yōu)步代叫是通過(guò)微信或者QQ進(jìn)行交易，只需支付很低的價(jià)格，告訴他目前所在位置、目的地和聯(lián)系手機(jī)號(hào)，就可以下單。

　　業(yè)內(nèi)人士認(rèn)為，這種“代叫”服務(wù)其實(shí)就是“刷單”產(chǎn)業(yè)鏈的一種，黑客通過(guò)該應(yīng)用的漏洞賺取不法收入，除了向平臺(tái)投訴之外，用戶也應(yīng)該重視自己對(duì)互聯(lián)網(wǎng)賬戶的管理，注意網(wǎng)絡(luò)支付安全。

　　優(yōu)步漏洞暴露

烏云平臺(tái)公布的優(yōu)步漏洞

　　為何，盜刷案件會(huì)頻發(fā)，根據(jù)一位不愿意透露姓名的“白帽子”黑客阿澤的指引，新浪科技在烏云網(wǎng)發(fā)現(xiàn)了公布的優(yōu)步的漏洞。

　　通過(guò)漏洞概要顯示，漏洞作者“路人甲”于2016年5月11日提交了標(biāo)題為“我是如何嘗試登錄別人Uber”的漏洞，漏洞類型為應(yīng)用配置。

　　阿澤告訴新浪科技，其實(shí)各個(gè)App的接口都存在或多或少的問(wèn)題，如果仔細(xì)研究之后，該App的賬戶和密碼很容易被盜取。

　　目前，優(yōu)步具有自動(dòng)扣款功能，在行程結(jié)束后會(huì)自動(dòng)通過(guò)已綁定的支付方式扣去車費(fèi)，無(wú)需驗(yàn)證和輸密環(huán)節(jié)，其他平臺(tái)則需要去確認(rèn)訂單，從而增加了優(yōu)步被盜刷的風(fēng)險(xiǎn)。最后演變成了黑客盜號(hào)-優(yōu)步代叫-盜刷的黑色產(chǎn)業(yè)鏈。

　　優(yōu)步回應(yīng)：提高自身安全系數(shù)

優(yōu)步驗(yàn)證短信

　　在小冉發(fā)現(xiàn)盜刷之后，她第一時(shí)間嘗試去聯(lián)系客服，然而，目前中國(guó)區(qū)卻并沒(méi)有電話客服的服務(wù)。

　　同時(shí)，她還通過(guò)自己的賬戶試圖去解綁信用卡，系統(tǒng)提示在“必須要有一個(gè)付款方式“，而通過(guò)支付寶客戶端也沒(méi)有解綁優(yōu)步的入口。

通過(guò)支付寶客戶端沒(méi)有解綁優(yōu)步的入口

　　一位商家告訴新浪科技，這些優(yōu)步賬號(hào)都是從其他人手里買到的，其中有一部分綁定了銀行的借記卡，一些用戶并沒(méi)有設(shè)置扣款通知，這些用戶的賬戶就會(huì)一直被盜刷，而另一些發(fā)現(xiàn)了被盜刷的賬戶，就會(huì)用新的賬戶頂替。

　　對(duì)于代叫盜刷問(wèn)題，優(yōu)步表示，代叫利用他人優(yōu)步賬號(hào)或銀行卡號(hào)的做法是一種欺詐行為。同時(shí)優(yōu)步一直通過(guò)多種途徑提醒廣大用戶在設(shè)置密碼時(shí)選擇復(fù)雜且獨(dú)特的密碼，避免在多個(gè)互聯(lián)網(wǎng)平臺(tái)使用同樣的賬戶名和密碼，以提高自身安全系數(shù)。

　　對(duì)于“為何優(yōu)步要求用戶至少綁定一種支付方式，而不能在賬號(hào)被盜后解除代扣”的疑問(wèn)，優(yōu)步方面未予置評(píng)。

　　(阿澤、小冉均為化名)（來(lái)源：新浪科技，原標(biāo)題：優(yōu)步賬戶頻遭盜刷 “優(yōu)步代叫”產(chǎn)業(yè)鏈浮現(xiàn)，原網(wǎng)址：http://tech.sina.com.cn/i/2016-06-21/doc-ifxtfrrf0731955.shtml）